Els usuaris del portal de serveis públics de la Federació Russa (gosuslugi.ru) van rebre una notificació sobre la creació d'una autoritat de certificació estatal amb el seu certificat TLS arrel, que no s'inclou a l'emmagatzematge de certificats arrel dels sistemes operatius i dels navegadors principals. Els certificats s'emeten de manera voluntària a persones jurídiques i estan pensats per utilitzar-se en situacions en què els certificats TLS es revoquen o s'acaben com a resultat de sancions. Per exemple, les CA amb seu als Estats Units, com DigiCert, han deixat d'emetre certificats per a llocs web d'organitzacions a la llista de sancions.
Actualment, el certificat arrel estatal només està integrat als productes Yandex.Browser i Atom. Per assegurar-vos que els llocs que utilitzen certificats d'una CA pública són de confiança en altres navegadors, heu d'afegir manualment el certificat arrel al sistema o al magatzem de certificats del navegador.
Entre els llocs que ja han rebut certificats TLS estatals hi ha diversos bancs (Sberbank, VTB, Banc Central) i organitzacions i projectes afiliats a agències governamentals. Al mateix temps, en el moment d'escriure aquest escrit, els llocs web principals de Sber i VTB continuen utilitzant certificats TLS tradicionals compatibles amb tots els navegadors, però alguns subdominis (per exemple, online-alpha.vtb.ru) ja s'han transferit al nou certificat.
En el cas que s'imposa una nova CA o es descobreixen abusos com ara atacs MITM, és probable que els fabricants de navegadors Firefox, Chrome, Edge i Safari prenguin mesures per afegir el certificat arrel problemàtic a les llistes de revocació de certificats, com ja han fet. fet amb el certificat, implementat per interceptar el trànsit HTTPS al Kazakhstan.
Font: opennet.ru